认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
发货地深圳或广州
ISO认证ISO27001信息安全管理体系认证咨询
服务区域全国
产品名称ISO27001认证
办证周期2个月
有效期3年
价格费用优惠面议
适用标准ISO27001:2013
证书有效可查
公司机构正规
审核流程协助推进
资料材料协助整理
申请ISO27001认证的条件
1. 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册。
2. 申请方的信息安全管理体系已按ISO/IEC27001:2013标准的要求建立,并实施运行3个月以上。
3. 至少完成一次内部审核,并进行了管理评审。
4. 信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
ISO27001认证:
(1) 信息安全管理方针、目标的适用性;
(2) 管理体系的审核结果,包括内审、外审结果及其它形式的审核结果;
(3) 相关利益方的反馈,包括客户的意见投诉、相关方的投诉或意见等;
(4) 用于改善信息安全管理体系性能和有效性的技术、产品和程序,包括信息安全管理方案的确定、执行等;
(5) 改进、预防和纠正措施的状况,包括对内部审核和日常发现的不合格项采取的纠正和预防措施的实施及其有效性的结果;
(6) 以前风险评估中没有充分表达的威胁和薄弱点,以及风险的重新评估;
(7) 以往管理评审跟踪措施的实施及有效性;
(8) 可能影响到信息安全管理体系的变更,包括部门组织结构、资源配置发生重大变化、信息安全技术发生变化、部门的商业目标或商业运作流程发生变化、信息安全法律、法规发生变化、发生重大信息安全事件等;
(9) 改进建议。
ISO27001认证的目的
1.信息安全教育与培训
⑴信息安全教育培训目的:
a.满足客户和法律法规要求的重要性。
b.违反相关要求所造成的后果。
c.自己从事的工作与信息安全的相关性。
d.鼓励员工参与信息安全管理,为实现信息安全目标做出贡献。
⑵信息安全教育培训对象:
人力资源部及相关部门应在在职员工(新员工、在岗员工、转岗员工)被授予访问权限之前,依据其安全角色和职责,进行针对性的安全教育和安全培训;
人力资源部及相关部门应当确定与信息安全相关的临时雇用人员、客户以及合作方等第三方人员是否需要适当的安全培训。
⑶信息安全教育培训内容:
在信息安全策略、制度和规定发生变化后,信息安全小组要保证及时传达给的全体员工、客户和合作方等第三方人员。
信息安全教育培训内容如下:
a.信息安全基础知识(安全意识)、岗位操作规程、信息系统使用规范;
b.公司信息安全方针、策略与信息安全目标的宣贯培训;
c.信息安全专题培训(如病毒防范培训、访问控制培训、等级保护培训等);
d.岗位安全责任、操作技能及相关技术;
e.违反违背安全策略和安全规定的惩戒措施。
⑷信息安全教育培训记录及考核
由人力资源部统一记录信息安全培训的人员、时间、地点、教师、内容等信息。对于课堂培训内容可根据需要进行必要的考核,以评价员工的学习效果,同时也作为培训记录由人力资源部统一存档备案。
不可接受风险的确定和处理
1) 针对所有的中级以上(包括中级)风险,各责任部门采取有效安全控制措施,确保所采取的控制措施是充分的,直到其风险降至可接受为止。
2) 在实际的控制措施执行后,信息安全管理小组及各部门评估人员根据实际措施的执行效果,重新评估资产的威胁值和脆弱性值,从而计算出关键活动的余风险。
3) 信息安全管理小组:根据风险评估以及处置的结果编制《信息安全风险评估报告》,陈述本公司信息安全管理现状及余风险状况。
4) 对于不进行处置的风险及余风险仍处于中级以上(包括中级)的风险,由信息安全管小组完成《余风险批示报告》,《余风险批示报告》需经过公司管理者批准通过,才能接受余风险。
业务风险等级评估
1) 通过对主营业务及信息系统的全面分析,梳理出重要信息资产的清单。
2) 各部门评估人员针对《信息安全风险评估表》下的《资产清单》中的重要信息资产进行风险评估, 评估主要考虑威胁事件发生的可能性和威胁事件发生后对信息资产造成的影响程度,从而判断对业务的影响。
3) 各部门评估人员按照《赋值说明》对每一项资产的保密性、可用性、完整性和与业务影响度进行赋值,并得出资产价值。资产价值大于等于4为重要信息资产。
4) 各部门评估人员根据资产本身所处的环境条件,参考《信息安全风险评估表》中的《威胁、脆弱性推荐对照表》以及在现状调研阶段分析出的内容,识别重要信息资产所面临的脆弱性及对应的威胁,及针对各威胁目前已有的控制措施;
5) 在考虑现有的控制前提下,参考《赋值说明》判断每项信息资产所面临威胁发生的可能性,判断薄弱点程度等级,分别赋1-5的值;
6) 《信息安全风险评估表》将自动结合资产的价值,威胁值和脆弱性的值,计算出业务风险的等级。
7) 信息安全管理小组考虑本公司整体的信息安全要求,对各部门填写的《信息安全风险评估表》进行审核,确保风险评估水平的一致性,确保没有遗漏重要信息安全风险。如果对评估结果进行修改,应该和关键活动或信息系统的责任部门进行沟通并获得该部门的确认。
什么是信息
1) 信息是经过分析、共享和理解的数据或者资料。
2) 信息同时也是一种资产,就如同其它的商业资产一样,对一个组织而言是具有价值的,因而需要妥善保护。
3) 常见的信息:u信息、内部信息、客户信息、息
4) 信息的表现形式:
a) 列印或写在纸张上的;
b) 用电子方式储存的;
c) 以邮件传输(包括电子邮件);
d) 以影视或胶片方式表现的;
e) 也可能存在于人的大脑中的 。
2、 什么是信息安全
对于公司来说,确保:
1) 不被丢失、恶意篡改;
2) 知识产权不被取;
3) 公司业务在受到网络攻击、自然灾害等情况时,可在短时间内恢复正常业务,继续为客户提供服务,将公司损失降低到小…等等
http://iso9001fsc1.b2b168.com
